Robert M. Lee gir deg 4 svar om cybersikkerhet i industrielle kontrollsystemer.

4 svar om cybersikkerhet i industrielle kontrollsystemer

Konferansen NFEA Cyber Security fant sted i Oslo 24. og 25. april. Cyber Security 2019 kunne friste med mange spennende foredrag innen cybersikkerhet for automatisering- og prosesskontrollsystemer.

Øverst på programmet stod selveste Robert M. Lee, CEO i Dragos Inc. og verdenskjent SCADA sikkerhetsekspert. Han holdt åpningsforedraget om dagens trusselbilde for cybersikkerhet i industrielle kontrollsystemer.

Vi fikk et intervju med Robert der han tok for seg noen av temaene han dekket i foredraget sitt.

1. Hvordan har trussellandskapet rundt cyberangrep på industrielle kontrollsystemer endret seg de siste årene?

Det er to dramatiske endringer som har skjedd i trussellandskapet. For det første har mange cyberangrep som vi tidligere omtalte som teoretiske, slik som målrettede angrep mot instrumenterte sikkerhetssystemer, nå skjedd i virkeligheten (ref. TRISIS-hendelsen). Dette avslører hva trusselaktørene har som intensjon, og er i stand til å oppnå. For det andre så vet vi i dag mer enn noen gang at unike cybertrusler mot industrielle kontrollsystemer eksisterer, men at mange systemeiere ikke har vært klar over dette. Det kan skyldes at de rett og slett manglet evne til å se og oppdage cyberangrep mot sine systemer.

2. Hvilken betydning har oppmerksomheten rundt TRISIS-hendelsen hatt?

Noe av medieoppmerksomheten har vært nyttig for å opplyse systemeiere utover de som var direkte involvert i hendelseshåndteringen. Men noen av historiene som ble slått opp i media inneholdt direkte misvisende informasjon om saken. For eksempel feilaktig informasjon om hvilket selskap som ble rammet eller hvem som sto bak. I tillegg til dette ga pressen oppmerksomhet til mange som uttalte seg uten å ha førstehånds kjennskap til saken, og som benyttet anledningen til å promotere sin personlige agenda.

Vi trenger å studere og lære av hendelser som dette, men da må vi behandle saken med den dybdekunnskap og nyansering som den fortjener.

3. Hva kan vi gjøre bedre for å beskytte kritisk infrastruktur mot cyberangrep?

Det er mange måter å håndtere sikkerhet i industrielle kontrollsystemer. Når vi står fremfor målrettede angripere er det ikke nok å kun tenke på bedre sikring av systemene. Mange sikkerhetsfolk fokuserer på at vi må tette sikkerhetshull og sårbarheter, men det viser seg at de fleste angripere heller utnytter legitim innebygd funksjonalitet i systemene.

For å beskytte seg mot disse typene angrep trenger vi dyktige folk, som med riktige verktøy og prosesser kan oppdage og håndtere truslene. Det de lærer av hendelseshåndteringen kan spilles inn i sikkerhetsarbeidet helt frem til leverandør, slik at vi i neste omgang får produkter med bedre innebygd sikkerhet. Dette er en etterretningsbasert tilnærming.

Vi kan lære av mulige hendelser (ekspertanalyser) og vi kan lære fra faktiske hendelser (etterretningsbasert). Sammen kan vi skape en sikrere verden.

4. Hvordan kan vi best lære fra cyberhendelser, for eksempel når det gjelder ransomware-angrepet mot Norsk Hydro?

Norsk Hydro gjorde en fantastisk jobb når det gjelder åpenhet og rask deling av informasjon. Dette blir en ny gullstandard for hvordan håndtere kommunikasjon rundt cyberangrep.

Det er mange fordeler med å flytte elementer og funksjonalitet fra IT-systemer over til industrielle kontrollsystemer; men dette bringer også med seg risiko. Vi må forsikre oss om at den økte risikoen kompenseres med risikoreduserende tiltak som bedre nettverksarkitektur. Det må finnes passive verktøy for monitorering av nettverkstrafikk og deteksjon av angrep.

Man behøver også aktive mottiltak i form av personell som forstår de operasjonelle systemene og prosessene i tillegg til cybersikkerhet. Mange cyberangrep slik som ransomware-angrepene vi har sett i det siste, er helt klart mulig å unngå basert på lærdom fra tidligere hendelser. Dette betyr ikke at man skal skylde på den som blir angrepet. Men vi kan bestrebe oss mot å ha kompenserende tiltak som gjør at vi alltid griper sjansen til å lære fra slike hendelser, slik at vi driver frem cybersikkerhetsarbeidet ved enhver anledning.